On Tue, May 19, 2015 at 11:13:25AM +0200, Stephan von Krawczynski wrote:
On Tue, 19 May 2015 10:46:37 +0200 "Dr. Werner Fink"
wrote: On Tue, May 19, 2015 at 08:21:04AM +0200, Marcus Meissner wrote:
On Mon, May 18, 2015 at 11:31:36AM +0200, Stephan von Krawczynski wrote:
Hallo,
heute musste ich wiederum bei 13.2 Ungereimtheiten feststellen. Der sshd liefert Verbindungsversuche von unbekannten IPs obwohl hosts.allow/deny so gesetzt ist dass das gar nicht vorkommen duerfte. Geht in 13.2 eigentlich irgendwas noch richtig? Aber Hauptsache schnell starten ...
Hmm, unser ssh ist ohne TCP wrapper support gebaut, eigentlich schon immer...
Fuer boeswillige SSH Angriffe empfiehlt sich entweder ignorieren, oder zb im firewall ein recent Filter, oder fail2ban oder so.
FW_SERVICES_ACCEPT_EXT="0/0,tcp,22,,hitcount=3,blockseconds=60,recentname=ssh"
Sat May 17 22:31:29 UTC 2014 - crrodriguez@opensuse.org
- Remove tcpwrappers support now, This feature was removed in upstream code at the end of April and the underlying libraries are abandonware. See: http://comments.gmane.org/gmane.linux.suse.general/348119
Und unter http://comments.gmane.org/gmane.linux.suse.general/348119:
This is an early warning: OpenSSH will drop tcpwrappers in the next release. sshd_config has supported the Match keyword for a long time and it is possible to express more useful conditions (e.g. matching by user and address) than tcpwrappers allowed.
... ist also völlig korrekt, das war mal im openssh, wird aber mit Sicherheit rausfliegen. Ob nun jetzt oder später.
Da hilft kein Geschimpfe und das hat auch nicht mit schnell starten und/oder systemd zu tun.
Offensichtlich haben die Script-Kiddies jetzt auch in dieser Hinsicht die Fuehrung uebernommen. Was mal ein gutes Sicherheitsfeature war wird zugunsten einer undurchsichtigen Option in einem proprietaeren Config-File eliminiert. Was fuer Nullen sind hier am Werk? Ich nenne das mal "grub2-ifizierung" von Linux. Es lebe das beliebig komplexe Config-File in allen Binaries mit moeglichst wenig gemeinsamen uebergreifenden Features. Der Hinweis auf "Match" soll ja wohl ein Witz sein.
Wir reden hier von upstream von openssh und das sind wahrlich keine Script-Kiddies. Und was hat das mit Nullen zu tun? Der tcpwrapper ist uralt und wird schon lange nicht mehr gepflegt. Etwas mehr Flexibilität hilft hier sicher weiter. Das erwähnte Match-Tag ist seit Jahren in der Manual-Page sshd_config(5) genaustens beschrieben: Match Introduces a conditional block. If all of the criteria on the Match line are satisfied, the keywords on the following lines override those set in the global section of the config file, until either another Match line or the end of the file. The arguments to Match are one or more criteria-pattern pairs. The available criteria are User, Group, Host, LocalAddress, LocalPort, and Address. The match patterns may consist of single entries or comma-separated lists and may use the wildcard and negation operators described in the PATTERNS section of ssh_config(5). The patterns in an Address criteria may additionally contain addresses to match in CIDR address/masklen format, e.g. “192.0.2.0/24” or “3ffe:ffff::/32”. Note that the mask length provided must be consistent with the address - it is an error to specify a mask length that is too long for the address or one with bits set in this host portion of the address. For example, “192.0.2.0/33” and “192.0.2.0/8” respectively. Only a subset of keywords may be used on the lines following a Match keyword. Available keywords are AcceptEnv, AllowAgentForwarding, AllowGroups, AllowTcpForwarding, AllowUsers, AuthorizedKeysFile, AuthorizedPrincipalsFile, Banner, ChrootDirectory, DenyGroups, DenyUsers, ForceCommand, GatewayPorts, GSSAPIAuthentication, HostbasedAuthentication, HostbasedUsesNameFromPacketOnly, KbdInteractiveAuthentication, KerberosAuthentication, MaxAuthTries, MaxSessions, PasswordAuthentication, PermitEmptyPasswords, PermitOpen, PermitRootLogin, PermitTunnel, PubkeyAuthentication, RhostsRSAAuthentication, RSAAuthentication, X11DisplayOffset, X11Forwarding and X11UseLocalHost. Werner -- Dr. Werner Fink -- Software Engineer Consultant SUSE Linux GmbH, Maxfeldstraße 5, 90409 Nürnberg, Germany GF: Felix Imendörffer, Jane Smithard, Jennifer Guild, Dilip Upmanyu, Graham Norton, HRB 21284 (AG Nuernberg) phone: +49-911-740-53-0, fax: +49-911-3206727, www.opensuse.org